Lazarus Group 使用的 YamaBot 恶意软件

YamaBot 是一种恶意软件的名称,由名为 Lazarus 的威胁行为者使用。

YamaBot 也被称为 Kaos,它是用 Go 编程语言编写和编译的——这是一种越来越受恶意软件作者欢迎的选择。

该恶意软件可以使用加密命令和 HTTP 请求与其命令和控制服务器基础设施进行通信。该恶意软件可以来回发送有关受感染系统的主机名、MAC 地址和当前用户名的信息。

恶意软件可用的工具会根据其部署的底层平台而变化。针对 Linux 机器的 YamaBot 实例仅通过 /bin/sh 使用 shell 命令,而针对 Windows 系统的实例使用许多不同的命令,可以获取目录和文件信息、下载文件、使用 shell 命令执行字符串以及删除 YamaBot。

该恶意软件的 Windows 版本在内部被其作者命名为 YamaBot,而针对 Linux 的版本在内部被称为 Kaos。

安全研究人员警告不要使用 YamaBot 恶意软件进行攻击,因为 Lazarus 是一个突出且危险的威胁参与者。

August 5, 2022